Bem-vindo à Comunidade UBNT

Clientes com Upload Alto [Resolvido]

Há alguns dias, tivemos um problema em nossa rede, onde alguns clientes estavam "matando a rede" com seus uploads fora do normal, assim como na imagem abaixo:

 

Sem título1.png

 

Depois de um torch em cada pppoe conectado, conseguimos a seguinte informação:

 

original.png

 

Quais informações que tinhamos até nesse momento?

 

1º - Todos esses clientes tinham equipamentos Ubiquiti

2º - Todas essas antenas enviavam upload para o endereço 104.193.92.87, que pertence a uma empresa no canadá chamada ClearDDoS Technologies.

3º - Todos eles estavam com senhas pradrões em suas configurações.

 

Decidimos ir a casa de um cliente que estava com o problema. Desligamos o cabo lan e continuou do mesmo jeito, o que deu a entender que o upload vinha da própria antena. Acessamos o equipamento no local via SSH, e através da linha de comando ls -al /etc/persistent/ foi dado o seguinte resultado.

 

drwxr-xr-x      3 admin    admin         160 Feb 21 08:28 .
drwxr-xr-x    10 admin    admin         840 Feb 23 18:06 ..
-rwxr--r--       1 admin    admin      763528 Feb 21 08:29 7202a
-rw-r--r--        1 admin    admin      873472 Feb 21 02:39 Gates_7100
lrwxrwxrwx    1 admin    admin          21 Jan  1  1970 cardlist.txt -> /usr/etc/cardlist.txt
-rw-------         1 admin    admin         458 May 28  2013 dropbear_dss_host_key
-rw-------         1 admin    admin         427 May 28  2013 dropbear_rsa_host_key
drwxr-xr-x      3 admin    admin          60 Jan  1  1970 mcuser

 

Esses dois arquivos apareceram, e sim, tenho quase a absoluta certeza que eles que estavam gerando todo esse trafego de upload.

 

A antena foi recolhida do local para verificação, mas quando chegou na empresa, acessei de novo via SSH e os arquivos haviam sumido. A partir daí foi constatado que todos os clientes que reiniciarem o seus esquipamentos iriam voltar ao normal e sem esses arquivos 7202a e Gates_7100. Mas isso não quis dizer que não voltou ao mesmo problema. Mesmo após reiniciar, uma hora ou outra, o pppoe desse cliente voltava com upload alto. E não teve SCRIPT DE SKYNET nem ATUALIZAÇÃO DE ANTENA que resolveu. Pois até antenas na ultima atualização estavam com esse problema.

 

No dia até pensei no Script,

 

rm /etc/persistent/7202a
rm /etc/persistent/Gates_7100
cfgmtd -w -p /etc/
reboot

 

Mas como que você vai entrar em um equipamento remotamente via SSH com o upload lá em cima?

Não dá.

 

Uma vacina referente as antenas não achamos, mas postei aqui todas as informações possíveis que podem servir de grande ajuda para chegar a uma solução.

 

Agora vamos ao ponto. Dropar o endereço no BGP também não deu certo. O que nos restou? Em momento de aflição, deixamos a rede em NAT até pensar em uma solução.

 

A solução mais simples e certa foi implantar o bloqueio de acesso ao IP das antenas, interno e externo. Foram bloqueadas portas 22, 80 e 443, de fora pra dentro da rede e internamente também.

Também foi adicionado uma regra no Firewall onde apenas um computador "do endereço x.x.x.x" vai poder acessar os equipamentos da rede. Sendo assim, finalmente foi tirado o NAT da rede e até o presente momento está tudo normal

 

Que só equipamentos da Ubiquiti apresentaram esse problema, isso é um fato. Mas ao mesmo tempo todos vocês que estão passando por isso estão com a segurança da rede vulnerável. Deixar senhas padrões em rádios como ubnt/ubnt, admin/admin, nunca será uma boa opção. Revejam toda a segurança e bloqueios no firewall e tudo vai se resolver.

Entre ou Registre-se para fazer um comentário.